Outsourcingen och Sveriges säkerhet

Utdrag från strafföreläggandet. Hämtad från DN.

Transportstyrelsens tidigare generaldirektör har erkänt sig skyldig till brottet vårdslöshet med hemlig uppgift, ett av brotten mot Sveriges säkerhet. Brottsrubriceringen innebär att det är fråga om sekretessbelagd information som om den uppenbaras för främmande makt kan medföra men för Sveriges säkerhet.

Outsourcingen

Transportstyrelsen genomförde 2015 en upphandling av IT-drift där driften, enligt SVT, flyttades till länder i Östeuropa. Enligt Computer Sweden handlade det om runt 1 100 fysiska och virtuella servrar, datahallens infrastruktur, applikationsdrift och viss support. Dessutom ingick konsulttjänster för projekt som var relaterade till driften.

Drift av hårdvara i servrar, operativsystem, databashanterare, filer och säkerhetskopior innebär att personer som genomför driften har fullständig tillgång till all information som finns i systemen. De har en direkt access till systemen och informationen. Access som andra staters underrättelsetjänster kan utnyttja för att komma åt eller påverka informationen eller påverka systemen.

Informationen

Vilken sekretessbelagd information det är fråga om vill myndigheterna inte berätta. Transportstyrelsen ansvarar för vägtrafikregistret där fordon är registrerade. Registret innehåller information om bl a alla fordon i Sverige, även fordon som polisen och Försvarsmakten använder. Om ett fordon är uttaget för användning inom totalförsvaret anges det i registret. Transportstyrelsen hanterar även uppgifter om alla körkortsinnehavare. Transportstyrelsens databaser uppges även innehålla information om infrastruktur såsom vägar, broar, flygplatser och hamnar. Ett exempel på information som omfattas av sekretess enligt 15 kap 2 § OSL och som rör rikets säkerhet kan vara information om vägars och broars bärighet. Information som andra stater kan använda för krigsplanläggning mot Sverige. Trafikverket har sådan information, men det utesluter väl inte att informationen även kan finnas hos Transportstyrelsen.

Ofta uppmärksammas endast sekretessaspekten för informationen. Minst lika viktiga är riktighets- och tillgänglighetsaspekterna. Genom accessen till systemen skulle en annan stat kunna föra in egna fordon i vägtrafikregistret. Smidigt när den andra statens underrättelsetjänster genomför inhämtnings- eller påverkansoperationer i Sverige. Andra stater skulle även kunna påverka systemens tillgänglighet, t ex genom att stänga ner applikationer och hårdvara eller föra in skadlig kod som påverkar systemen negativt. Varför inte binda upp resurser för IT-incidenthantering (t ex FRA stöd till statliga myndigheter) genom ”angrepp” i Transportstyrelsens IT-system för att avleda uppmärksamhet från den egentliga operationen? Allt är möjligt med outsourcingföretagets fysiska och logiska access.

Brottet

Den som av grov oaktsamhet befordrar, lämnar eller röjer sådan uppgift som avses i 7 § döms för vårdslöshet med hemlig uppgift till böter eller fängelse i högst ett år eller, om Sverige var i krig, till böter eller fängelse i högst två år.
19 kap 9 § brottsbalken

I straffbestämmelsen kriminaliseras sådan grov oaktsamhet som innebär att en uppgift som rör något förhållande av hemlig natur (står i 19 kap 7 §) befordras, lämnas eller röjs. Straffbestämmelsen syftar till att skydda uppgifter av betydelse för Sveriges säkerhet och omfattar gärningar av allvarligt slag. Något uppsåt krävs inte. Oaktsamhet som inte är grov omfattas inte. Du kan läsa mer om brottet på sidorna 23-25 och 51-52 i proposition 2013/14:51 (PDF) och sidorna 311-317 i betänkandet SOU 2012:95 (PDF).

Det är dock svårt att få någon dömd för vårdslöshet med hemlig uppgift, vilket jag har skrivit mer om i blogginlägget Slarv med hemliga uppgifter sällan brottsligt.

Händelsen är inte unik

Enligt strafföreläggandet har den tidigare generaldirektören genom att underteckna ett beslut gjort ”avsteg från gällande lagstiftning”. I föreläggandet anges säkerhetsskyddslagen, OSL och brottsbalken. Beslutet att genomföra outsourcingen, i strid med lagstiftningen, gjordes avsiktligt och mot bättre vetande. Enligt uppgifter till Lars Wilderängs blogg Cornucopia ”frångick man i princip alla krav på säkerhet i sin iver att flytta ut alla servrar från landet”.

Transportstyrelsen verkar tyvärr inte vara unik. Åklagaren i fallet säger till SVT att väldigt många myndigheter inte tar säkerhetsskyddsarbetet på allvar. Hon tror att det finns andra myndigheter som borde tänka mycket mycket mer på säkerhetsarbetet och säkerhetsprövningen, innan man outsourcar.

Säkerhetsprövning av outsourcingföretagens personal i andra länder är svår att genomföra eftersom den utländska personalens lojalitet mot svenska intressen ofta är svårbedömd eller okänd. Tyvärr är det vanligt att säkerhetsprövning i Sverige går till genom att enbart fylla i en blankett om registerkontroll. Har man den synen på säkerhetsprövning kommer en säkerhetsprövning av personal i andra länder vara lite värd. Det är olämpligt att outsourca verksamhet med information som kan skada Sveriges säkerhet till andra länder.

Dra lärdom

Att en chef för en myndighet har utretts för brott mot Sveriges säkerhet och erkänt brottet är exceptionellt. Myndighetschefer, och deras underställda, som medverkar till ”riskhanteringsbeslut” som innebär att information ges ett otillräckligt säkerhetsskydd måste tänka om. Tyvärr är det inte alltid de som som är kvar när skiten träffar fläkten, det kan ju gå många år mellan beslut och fläktträff. Vi som arbetar med säkerhetsskydd och informationssäkerhet måste ge verksamheterna stöd så att något liknande inte inträffar igen.

Rekommenderad läsning om outsourcing:

  • Säkerhetspolisens lathund 10 tips för säkrare outsourcing (PDF).
  • MSB vägledning om informationssäkerhet i upphandling av system, outsourcing och molntjänster (PDF).

Vill du lära dig mer om säkerhetsprövning av personal kan du läsa Försvarsmaktens handbok i ämnet (PDF).

≈ ≈ ≈

Det som inträffat visar att det finns ett behov att staten tillhandahåller gemensamma datorhallar och molntjänster för de statliga myndigheternas it-drift. Statens servicecenter har utrett frågan och lämnat ett förslag (PDF). Det är en bra början.

≈ ≈ ≈

Stämmer inte längre. Uttrycket har funnits länge och är giltigt på många företags varor och tjänster. Bild via @rvonpost.

 

En påminnelse om att molnet består av fysiska datorer, någon annans datorer. Du kan köpa klistermärket ”There is no Cloud” på Stickermule.

Källor:

  • DN: Sparkad generaldirektör röjde sekretessbelagda uppgifter (nyhetsartikel)
  • SVT: SVT Nyheter avslöjar: Läckte uppgifter vid dataupphandling (nyhetsartikel)
  • Computer Sweden: IBM tog Transportstyrelsens miljardkontrakt (nyhetsartikel)
  • DN: Åklagaren om Transportstyrelsen: Hemliga uppgifter sändes utan säkerhetskontroll (nyhetsartikel)
  • Trafikverkets metodbeskrivning MB 802 Bärighetsutredning av byggnadsverk (PDF). Se även äldre och upphävd Ändring av publikation 1998:78 ATB Klassningsberäkning av vägbroar beträffande militär klassning (PDF).
  • Förordning (2008:1300) med instruktion för Transportstyrelsen.
  • DN: Ågren: Jag såg ingen annan utväg (nyhetsartikel)
  • SVT: Åklagaren i Maria Ågren-fallet: Fler myndigheter bör se över sina rutiner (nyhetsartikel).
  • Sidorna 23-25 och 51-52 i regeringens proposition Förstärkt skydd mot främmande makts underrättelseverksamhet (prop 2013/14:51) (PDF).
  • Sidorna 311-317 i betänkandet Spioneri och annan olovlig underrättelseverksamhet (SOU 2012:95) (PDF).
  • Bloggen Cornucopia: Transportstyrelsen flyttade sekretessbelagda databaser utomlands – sparkad GD bötfälld (blogginlägg).
  • Brottet vårdslöshet med hemlig uppgift i 19 kap 9 § brottsbalken.
  • ”10 tips för säkrare outsourcing” – Säkerhetspolisens lathund om outsourcing. PDF
  • Rapporten En gemensam statlig molntjänst för myndigheternas it-drift från Statens servicecenter (PDF).

/Kim Hakkarainen

1 kommentar

Publicerad i Brott mot Sveriges säkerhet, Säkerhetsskydd

En kommentar till Outsourcingen och Sveriges säkerhet

  1. Mats Lindhé

    Är jag ensam som störs av kvarlämnade och icke överkorsade hemligstämplar i avhemligat material som myndigheterna lämnar ut? Det borde se ut som t ex i FM:s offentliggjorda dokument https://www.svt.se/nyheter/inrikes/svt-avslojar-hela-det-militara-fordonsregistret-lamnades-till-utlandet , inte som i Säpos utlämnade förundersökning där både röda o svarta hemligstämplar lämnats helt orörda. Gäller inte RPSFS 2010:03?

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *